ISMS Copilot
Rechtliches

Auftragsverarbeitungsvertrag (AVV) - Aktualisiert

Übersicht

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Nutzungsbedingungen zwischen Ihnen (dem „Kunden“ oder „Verantwortlichen“) und ISMS Copilot (dem „Auftragsverarbeiter“) für die Nutzung der ISMS Copilot KI-Compliance-Plattform. Dieser AVV entspricht Artikel 28 der Datenschutz-Grundverordnung (DSGVO) und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden.

Datum des Inkrafttretens: November 2025. Dieser AVV gilt automatisch für alle Kunden von ISMS Copilot, die personenbezogene Daten über die Plattform verarbeiten. Eine separate Unterschrift ist nicht erforderlich – Ihre Nutzung des Dienstes gilt als Zustimmung.

Für wen dies bestimmt ist

Dieser Auftragsverarbeitungsvertrag ist bestimmt für:

  • Organisationen, die ISMS Copilot zur Verarbeitung personenbezogener Daten nutzen

  • Compliance-Berater, die Kundendaten über die Plattform verarbeiten

  • Datenschutzbeauftragte, die Anbieterbewertungen durchführen

  • Rechts- und Beschaffungsteams, die Vereinbarungen zur Datenverarbeitung prüfen

  • Auditoren, die die Einhaltung von Artikel 28 DSGVO prüfen

Definitionen

Schlüsselbegriffe

  • „Kunde“ oder „Verantwortlicher“: Die Organisation oder Einzelperson, die ISMS Copilot-Dienste abonniert und über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

  • „Auftragsverarbeiter“: ISMS Copilot, das personenbezogene Daten im Auftrag des Kunden verarbeitet.

  • „Personenbezogene Daten des Kunden“: Alle personenbezogenen Daten, die von ISMS Copilot im Auftrag des Kunden verarbeitet werden, einschließlich Gesprächsinhalten, hochgeladenen Dokumenten und zugehörigen Metadaten.

  • „Unterauftragsverarbeiter“: Jeder Drittverarbeiter, der von ISMS Copilot mit der Verarbeitung personenbezogener Daten des Kunden beauftragt wird.

  • „Betroffene Person“: Die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten des Kunden beziehen.

  • „Verarbeitung“: Jeder mit personenbezogenen Daten ausgeführte Vorgang, wie das Erheben, Speichern, Verwenden, Offenlegen oder Löschen.

  • „Verletzung des Schutzes personenbezogener Daten“: Eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten des Kunden führt.

1. Gegenstand und Anwendbarkeit

1.1 Anwendung des AVV

Dieser AVV gilt für alle Verarbeitungen personenbezogener Daten des Kunden durch ISMS Copilot im Rahmen der Erbringung der in den Nutzungsbedingungen beschriebenen Plattformdienste.

1.2 Gegenstand der Verarbeitung

ISMS Copilot verarbeitet personenbezogene Daten des Kunden, um KI-gestützte Compliance-Unterstützung anzubieten, einschließlich:

  • Verarbeitung von Benutzeranfragen und Erstellung von KI-Antworten

  • Speicherung von Gesprächsverlauf und Kontext

  • Analyse hochgeladener Compliance-Dokumente

  • Pflege von Workspace-Konfigurationen und benutzerdefinierten Anweisungen

1.3 Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des aktiven Abonnements des Kunden und gemäß der vom Kunden konfigurierten Datenaufbewahrungsfrist (1 Tag bis 7 Jahre oder „für immer behalten“). Nach Beendigung werden alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen gelöscht, sofern keine längere Aufbewahrung gesetzlich vorgeschrieben ist.

1.4 Art und Zweck der Verarbeitung

  • Art: Automatisierte Verarbeitung mittels KI-Modellen, Datenbank-Speicherung und Dateiverarbeitung

  • Zweck: Bereitstellung von Compliance-Beratung, Dokumentenanalyse, Richtlinienerstellung und Wissensmanagement gemäß den Anweisungen des Kunden

1.5 Kategorien betroffener Personen

  • Mitarbeiter und autorisierte Benutzer des Kunden

  • Kunden und Endnutzer des Kunden (sofern in hochgeladenen Dokumenten oder Anfragen erwähnt)

  • In der Compliance-Dokumentation namentlich genannte Personen

  • Subjekte von Sicherheitsvorfällen

1.6 Kategorien personenbezogener Daten

  • Benutzerkontoinformationen (E-Mail-Adressen, Authentifizierungsdaten)

  • Gesprächsinhalte und KI-Interaktionen

  • Inhalt hochgeladener Dokumente (Richtlinien, Verfahren, Auditberichte)

  • Workspace-Konfigurationen und benutzerdefinierte Anweisungen

  • Nutzungsmetadaten und Zeitstempel

  • Möglicherweise besondere Kategorien von Daten (Art. 9 DSGVO), falls vom Kunden hochgeladen

Der Kunde ist dafür verantwortlich, vor dem Hochladen besonderer Kategorien von Daten (Art. 9 DSGVO) sicherzustellen, dass eine entsprechende Rechtsgrundlage und Schutzmaßnahmen bestehen (z. B. Berichte über Sicherheitsvorfälle mit Gesundheitsdaten, Mitarbeiterinformationen oder andere sensible Kategorien).

2. Pflichten des Auftragsverarbeiters (Artikel 28 Abs. 3 DSGVO)

2.1 Verarbeitungsanweisungen

ISMS Copilot verarbeitet personenbezogene Daten des Kunden nur auf dokumentierte Weisung des Kunden, einschließlich:

  • Anweisungen über die Plattform-Schnittstelle (Anfragen, Dokument-Uploads, Workspace-Konfigurationen)

  • Vom Kunden konfigurierte Datenaufbewahrungseinstellungen

  • Auswahl des erweiterten Datenschutzmodus (nur EU vs. Standard-KI-Verarbeitung)

  • Über die Plattform oder den Support eingereichte Löschanfragen

Verbotene Verarbeitung: ISMS Copilot und seinen KI-Unterauftragsverarbeitern (xAI, OpenAI, Mistral AI) ist es vertraglich untersagt, personenbezogene Daten des Kunden zum Trainieren, Verbessern oder Entwickeln von KI-Modellen zu verwenden. Dieses Verbot ist in alle Verträge mit KI-Unterauftragsverarbeitern integriert.

Ist ISMS Copilot der Ansicht, dass eine Anweisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, informieren wir den Kunden unverzüglich und sind berechtigt, die Verarbeitung auszusetzen, bis die Anweisung bestätigt oder geändert wird. Bestätigt der Kunde eine Anweisung, von der ISMS Copilot vernünftigerweise annimmt, dass sie gegen geltendes Datenschutzrecht verstößt, kann ISMS Copilot die Ausführung verweigern und bei Fortbestehen der Unstimmigkeit die betroffenen Verarbeitungsaktivitäten mit einer Frist von 30 Tagen kündigen.

2.2 Vertraulichkeit der Verarbeitung

ISMS Copilot stellt sicher, dass alle zur Verarbeitung personenbezogener Daten des Kunden befugten Personen:

  • Einer Vertraulichkeitsverpflichtung unterliegen (vertraglich oder gesetzlich)

  • Angemessene Schulungen zum Datenschutz erhalten

  • Nur nach dem „Need-to-Know“-Prinzip auf Daten zugreifen

  • Dokumentierte Datenverarbeitungsverfahren befolgen

2.3 Technische und organisatorische Maßnahmen (Artikel 32 DSGVO)

ISMS Copilot implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich:

Zugangskontrollmaßnahmen:

  • Sicherheit auf Zeilenebene in der Datenbank, die den benutzerübergreifenden Datenzugriff verhindert

  • Benutzerauthentifizierung für alle geschützten Ressourcen erforderlich

  • Workspace-Isolierung zur Vermeidung von Kreuzkontaminationen von Kundendaten

  • Unterstützung von Multi-Faktor-Authentifizierung (MFA)

  • Automatische Sitzungs-Timeout-Steuerungen

Verschlüsselungsmaßnahmen:

  • TLS 1.3-Verschlüsselung für Datenübertragungen

  • Datenbankverschlüsselung im Ruhezustand (at rest)

  • Passwort-Hashing unter Verwendung von Industriestandard-Algorithmen (irreversibel)

  • Verschlüsselte Dateispeicherung in Supabase

Datenminimierung:

  • Erhebung nur wesentlicher Daten (E-Mail, Nachrichten, Dateien)

  • Keine Erhebung unnötiger demografischer oder Kontaktinformationen

  • Analysekonfiguration mit sendDefaultPii: false

  • Vom Kunden kontrollierte Aufbewahrungsfristen mit automatisierter Löschung

Verfügbarkeit und Belastbarkeit:

  • Automatisierte Datenbank-Backups

  • Disaster-Recovery-Verfahren

  • 24/7-Überwachung und Alarmierung via Sentry

  • Echtzeit-Uptime-Überwachung via BetterStack mit sofortiger Slack-Alarmierung

  • Öffentliche Statusseite für Transparenz (status.ismscopilot.com)

  • Progressive Eskalation bei Vorfällen via E-Mail und SMS

Prüfung und Bewertung:

  • Regelmäßige Sicherheitsbewertungen

  • Kontinuierliche Fehlerüberwachung und Protokollierung

  • Automatisierte Tests der Datenlöschung

  • Verfahren zur Überprüfung der Zugangskontrolle

Detaillierte technische und organisatorische Maßnahmen finden Sie in unserem Verzeichnis der Verarbeitungstätigkeiten (VVT) oder in unserer Security Collection.

2.4 Beauftragung von Unterauftragsverarbeitern

Allgemeine Genehmigung: Der Kunde erteilt ISMS Copilot die allgemeine Genehmigung, Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten des Kunden unter den in diesem Abschnitt genannten Bedingungen zu beauftragen.

Aktuelle Unterauftragsverarbeiter: Die vollständige Liste der Unterauftragsverarbeiter wird in unserem Verzeichnis der Verarbeitungstätigkeiten geführt und umfasst:

Unterauftragsverarbeiter

Zweck

Standort

AVV-Status

Supabase (PostgreSQL + Storage)

Datenbank- und Dateispeicherung

EU (Frankfurt)

✓ DSGVO-konform

Anthropic (Claude), xAI (Grok-3), OpenAI (GPT) *

KI-Verarbeitung (Standardmodus)

USA

✓ Kein Training mit Daten

Mistral AI *

KI-Verarbeitung (Erweiterter Datenschutz)

Europäische Union

✓ DSGVO-konform

Stripe

Zahlungsabwicklung

Global (EU-AVV)

✓ DSGVO-konform

ConvertAPI

Dokumentenkonvertierung

EU-Endpunkt

✓ DSGVO-konform

✓ ISO 27001:2022 zertifiziert

✓ Unterzeichneter AVV mit Better ISMS

PostHog

Produktanalyse

EU (Frankfurt)

✓ DSGVO-konform

Sentry

Fehlerüberwachung

Deutschland

✓ DSGVO-konform

Vercel

Frontend-Hosting

Globales CDN

✓ DSGVO-konform

Fly.io

Backend-API-Hosting

EU-Bereitstellung

✓ DSGVO-konform

SendGrid (Twilio)

E-Mail-Kommunikation

USA (SCC)

✓ DSGVO + SCC

Kit (ConvertKit)

E-Mail-Kommunikation

USA (SCC)

✓ DSGVO + SCC

* Durch Benutzer konfigurierbar: Es ist jeweils nur EIN KI-Prozessor aktiv, je nach Einstellung des erweiterten Datenschutzmodus des Kunden.

Anforderungen an Unterauftragsverarbeiter: ISMS Copilot stellt sicher, dass alle Unterauftragsverarbeiter:

  • Hinreichende Garantien für die Einhaltung der DSGVO bieten

  • Datenverarbeitungsbedingungen zustimmen, die diesem AVV im Wesentlichen gleichwertig sind

  • Geeignete technische und organisatorische Maßnahmen implementieren

  • Der Aufsicht und den Prüfungsrechten von ISMS Copilot unterliegen

Änderungen bei Unterauftragsverarbeitern:

  • ISMS Copilot wird den Kunden mindestens 30 Tage vor dem Hinzufügen oder Ersetzen von Unterauftragsverarbeitern benachrichtigen

  • Benachrichtigungen erfolgen per E-Mail und In-App-Ankündigung

  • Kunden können innerhalb von 30 Tagen gegen neue Unterauftragsverarbeiter Einspruch erheben

  • Bei Einspruch des Kunden wird ISMS Copilot den neuen Unterauftragsverarbeiter entweder nicht einsetzen oder dem Kunden die Kündigung des Dienstes ohne Vertragsstrafe ermöglichen

Abonnieren Sie Benachrichtigungen über Änderungen bei Unterauftragsverarbeitern, indem Sie Ihre E-Mail-Einstellungen in den Einstellungen überprüfen. Aktualisierte Listen der Unterauftragsverarbeiter sind jederzeit im Verzeichnis der Verarbeitungstätigkeiten verfügbar.

2.5 Unterstützung bei Betroffenenrechten

ISMS Copilot unterstützt den Kunden bei der Erfüllung von Anfragen zu Betroffenenrechten, einschließlich:

ISMS Copilot wird auf Anfragen des Kunden zur Unterstützung bei Betroffenenrechten innerhalb der unten angegebenen Zeitrahmen reagieren. Der Kunde bleibt dafür verantwortlich, die einmonatige Antwortfrist der DSGVO gegenüber den betroffenen Personen einzuhalten (Art. 12 Abs. 3).

Auskunftsrecht (Artikel 15):

  • Self-Service-Zugriff auf alle Gespräche und Dateien über die Plattform

  • Vollständiger Datenexport im JSON-Format auf Anfrage an den Support (innerhalb von 72 Stunden)

Recht auf Berichtigung (Artikel 16):

  • Self-Service-Updates in den Kontoeinstellungen

  • Support-gestützte Änderungen der E-Mail-Adresse (innerhalb von 30 Tagen)

Recht auf Löschung (Artikel 17):

  • Anträge auf Kontolöschung über den Support

  • Vollständige Datenlöschung innerhalb von 30 Tagen

  • Bestätigung an den Kunden nach Abschluss

Recht auf Datenübertragbarkeit (Artikel 20):

  • Maschinenlesbarer JSON-Export aller personenbezogenen Daten des Kunden

  • Bereitstellung innerhalb von 72 Stunden (bis zu 5 Tage bei großen Konten)

Recht auf Einschränkung der Verarbeitung (Art. 18) und Widerspruchsrecht (Art. 21):

  • Bearbeitung über den Support im Einzelfall

  • Antwort innerhalb von 30 Tagen

Der Kunde ist dafür verantwortlich, die Identität der betroffenen Person zu verifizieren, bevor er Zugriff auf Daten oder einen Export anfordert. ISMS Copilot stellt die Tools und Prozesse bereit, aber der Kunde trägt die Hauptverantwortung für die Beantwortung von Anfragen betroffener Personen.

2.6 Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten des Kunden wird ISMS Copilot:

Erkennung und Bewertung:

  • Sicherheitsvorfälle über Sentry und automatisierte Alarmierung kontinuierlich überwachen

  • Überprüfung von Sicherheitsvorfällen innerhalb von 24 Stunden nach Entdeckung durchführen

  • Risiko und potenzielle Auswirkungen auf die personenbezogenen Daten des Kunden bewerten

Benachrichtigung des Kunden:

  • Den Kunden innerhalb von 48 Stunden benachrichtigen, nachdem bestätigt wurde, dass eine Verletzung personenbezogene Daten des Kunden betrifft

  • Bei vermuteten Vorfällen, die noch untersucht werden, eine vorläufige Benachrichtigung innerhalb von 24 Stunden senden, mit Updates sobald Informationen vorliegen

  • Beschreibung der Verletzung bereitstellen, einschließlich Kategorien und ungefähre Anzahl der betroffenen Personen

  • Wahrscheinliche Folgen der Verletzung beschreiben

  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen darlegen

  • Kontaktstelle für weitere Informationen benennen

Zusammenarbeit:

  • Mit dem Kunden bei der Untersuchung und Behebung kooperieren

  • Angemessene Unterstützung bei der Benachrichtigung von Aufsichtsbehörden und betroffenen Personen durch den Kunden leisten

  • Alle Verletzungen und Abhilfemaßnahmen dokumentieren

Der Kunde ist weiterhin dafür verantwortlich, zu entscheiden, ob eine Benachrichtigung der Aufsichtsbehörden (innerhalb von 72 Stunden gemäß Art. 33) und der betroffenen Personen (Art. 34) erforderlich ist. ISMS Copilot liefert Informationen zur Unterstützung der Entscheidung und Pflichten des Kunden.

2.7 Unterstützung bei der Datenschutz-Folgenabschätzung (DSFA)

ISMS Copilot wird angemessene Unterstützung leisten, wenn der Kunde eine Datenschutz-Folgenabschätzung oder eine vorherige Konsultation mit einer Aufsichtsbehörde durchführt, einschließlich:

  • Bereitstellung des Verzeichnisses der Verarbeitungstätigkeiten als Referenz

  • Beschreibung der implementierten technischen und organisatorischen Maßnahmen

  • Erläuterung von Datenflüssen und Vereinbarungen mit Unterauftragsverarbeitern

  • Beantwortung spezifischer Fragen zu Verarbeitungsvorgängen

2.8 Löschung und Rückgabe von Daten

Nach Beendigung der Dienste oder auf Anfrage des Kunden wird ISMS Copilot:

Standardlöschung (Standard):

  • Alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen nach Beendigung löschen

  • Backup-Daten innerhalb von 90 Tagen überschreiben

  • Auf Anfrage eine schriftliche Bestätigung der Löschung ausstellen

Datenexport vor der Löschung:

  • Der Kunde kann vor der Beendigung einen vollständigen Datenexport anfordern

  • Export erfolgt im JSON-Format innerhalb von 72 Stunden

  • Löschung erfolgt nach Bestätigung der Exportzustellung

Gesetzliche Aufbewahrungsausnahmen:

  • Anonymisierte Abrechnungsunterlagen werden für 7 Jahre aufbewahrt (Steuer- und Buchhaltungskonformität)

  • Anonymisierte Analysedaten können aufbewahrt werden

  • Inhalte, die von automatisierten Moderationssystemen markiert wurden, werden bis zu 1 Jahr für die Rechtskonformität und Sicherheitsbewertung aufbewahrt (siehe Datenschutzerklärung, Abschnitt Inhaltsmoderation)

  • Daten, die nach geltendem Recht aufbewahrt werden müssen, werden isoliert und geschützt, bis die gesetzliche Aufbewahrungsfrist abläuft

2.9 Prüfungsrechte

Der Kunde hat das Recht, die Einhaltung dieses AVV durch ISMS Copilot unter Berücksichtigung angemessener Einschränkungen zu prüfen:

Dokumentationsprüfung:

  • Der Kunde kann öffentlich verfügbare Compliance-Dokumente in unserer Security Collection einsehen

  • Zusätzliche Dokumentation über den Support anfordern (z. B. Verträge mit Unterauftragsverarbeitern, Sicherheitsrichtlinien)

  • Einsicht in das Verzeichnis der Verarbeitungstätigkeiten zu jeder Zeit

Vor-Ort-Prüfungen:

  • Der Kunde kann Vor-Ort-Prüfungen mit einer schriftlichen Vorankündigung von 60 Tagen durchführen

  • Maximal ein Audit pro Jahr, sofern nicht durch eine Datenschutzverletzung erforderlich

  • Audits müssen während der Geschäftszeiten durchgeführt werden und dürfen den Betrieb nicht beeinträchtigen

  • Der Kunde trägt die Kosten des Audits, es sei denn, das Audit deckt eine Nichteinhaltung auf, die: (a) eine Verletzung des Schutzes personenbezogener Daten darstellt, (b) ein systematisches Versäumnis bei der Umsetzung dokumentierter Sicherheitsmaßnahmen beinhaltet oder (c) zu behördlichen Durchsetzungsmaßnahmen führt. In diesen Fällen trägt ISMS Copilot die angemessenen Auditkosten, die nach Feststellung der Nichteinhaltung entstanden sind.

  • Ergebnisse bleiben vertraulich und dürfen nicht weitergegeben werden, außer wenn gesetzlich vorgeschrieben

Zertifizierungen durch Dritte:

  • ISMS Copilot wird relevante Sicherheitszertifizierungen anstreben und aufrechterhalten (ISO 27001 in Arbeit)

  • Zertifizierungsberichte können auf Anfrage unter NDA geteilt werden

  • Kunden können sich auf Zertifizierungen durch Dritte verlassen, anstatt eigene Audits durchzuführen

3. Internationale Datentransfers

3.1 Mechanismen für den Datentransfer

ISMS Copilot verarbeitet personenbezogene Daten des Kunden in Übereinstimmung mit Kapitel V der DSGVO:

Primäre Speicherung (Immer EU):

  • Die gesamte Datenbank-Speicherung erfolgt in Frankfurt am Main, Deutschland (AWS EU-Central-1)

  • Gesprächsverlauf, hochgeladene Dateien und Kontodaten verbleiben in der EU

  • Für die primäre Speicherung ist kein Angemessenheitsbeschluss erforderlich

KI-Verarbeitung (Vom Kunden konfigurierbar):

Wenn der erweiterte Datenschutzmodus Aktiviert ist: Die KI-Verarbeitung erfolgt innerhalb der EU über Mistral AI ohne Datenspeicherung. Für die KI-Verarbeitung findet kein internationaler Datentransfer statt.

Wenn der erweiterte Datenschutz Deaktiviert ist (Standard): Gesprächsinhalte werden zur KI-Verarbeitung über xAI/OpenAI mit einer 30-tägigen Aufbewahrung in die USA übertragen. Für diese Übertragungen gelten Standardvertragsklauseln.

E-Mail-Kommunikation (USA-basiert):

  • E-Mail-Adressen werden an SendGrid und Kit (USA) übertragen

  • Geschützt durch von der Europäischen Kommission genehmigte Standardvertragsklauseln

  • Kunden können Übertragungen minimieren, indem sie sich von nicht wesentlichen E-Mails abmelden

3.2 Standardvertragsklauseln (SCCs)

Bei Übermittlungen in die USA stützt sich ISMS Copilot auf Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission):

  • Kunde an ISMS Copilot: Modul Zwei (Verantwortlicher an Auftragsverarbeiter) findet Anwendung, wenn der Kunde als Verantwortlicher handelt

  • ISMS Copilot an US-Unterauftragsverarbeiter: Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter) findet Anwendung

  • Anwendbares Recht für SCCs: Französisches Recht (Klausel 17, Option 1)

  • Zuständige Aufsichtsbehörde: CNIL, Frankreich (Klausel 13)

  • Kopien der unterzeichneten SCCs mit Unterauftragsverarbeitern sind auf Anfrage über den Support erhältlich

3.3 Zusätzliche Maßnahmen

ISMS Copilot implementiert zusätzliche Maßnahmen zum Schutz von Daten, die außerhalb der EU übertragen werden:

  • End-to-End-Verschlüsselung (TLS 1.3) für alle Daten während der Übertragung

  • Vertragliches Verbot von KI-Training mit Kundendaten

  • Begrenzte Aufbewahrung durch KI-Anbieter (30 Tage für xAI/OpenAI, keine für Mistral AI)

  • Möglichkeit des Kunden, das Transferziel über den erweiterten Datenschutzmodus zu steuern

  • Kontinuierliche Beobachtung rechtlicher Entwicklungen in Bezug auf internationale Transfers

3.4 Datentransfer-Folgenabschätzung (TIA)

ISMS Copilot hat eine Datentransfer-Folgenabschätzung (Transfer Impact Assessment - TIA) für US-basierte Unterauftragsverarbeiter durchgeführt und festgestellt, dass:

  • Standardvertragsklauseln angemessene Garantien gemäß Kapitel V der DSGVO bieten

  • Zusätzliche technische Maßnahmen (Verschlüsselung, begrenzte Aufbewahrung, Benutzerkontrollen) den Schutz verstärken

  • Kunden die Möglichkeit haben, Transfers zur KI-Verarbeitung in die USA vollständig zu vermeiden, indem sie den erweiterten Datenschutzmodus (nur EU-Verarbeitung ohne Aufbewahrung) aktivieren

  • E-Mail-Übertragungen an US-Anbieter (SendGrid, Kit) unabhängig vom Datenschutzmodus bestehen bleiben, aber durch SCCs und Verschlüsselung geschützt sind

  • Keine Erkenntnisse darüber vorliegen, dass Unterauftragsverarbeiter staatliche Zugriffsanfragen für Kundendaten erhalten haben

Die vollständige Folgenabschätzung, einschließlich Risikobewertungsmethodik und Analyse des US-Überwachungsrechts, ist unter Transfer Impact Assessment verfügbar.

Organisationen mit strengen Anforderungen an die Datenresidenz in der EU sollten den erweiterten Datenschutzmodus aktivieren, um Transfers zur KI-Verarbeitung zu eliminieren und Pflichten zur Datentransfer-Folgenabschätzung zu vereinfachen. E-Mail-Übertragungen an US-Anbieter bleiben bestehen, werden jedoch durch Abbestellen nicht wesentlicher Kommunikation minimiert. Weitere Informationen finden Sie in unserem Transfer Impact Assessment.

4. Pflichten des Kunden als Verantwortlicher

4.1 Rechtmäßigkeit der Verarbeitungsanweisungen

Der Kunde sichert zu, dass:

  • Alle Verarbeitungsanweisungen der DSGVO und geltenden Datenschutzgesetzen entsprechen

  • Der Kunde eine Rechtsgrundlage für die Verarbeitung aller auf die Plattform hochgeladenen personenbezogenen Daten hat

  • Der Kunde die betroffenen Personen über die Verarbeitung und ihre Rechte informiert hat

  • Der Kunde ein entsprechendes Verzeichnis der Verarbeitungstätigkeiten führt (Art. 30 DSGVO)

4.2 Besondere Datenkategorien

Falls der Kunde besondere Kategorien von Daten (Art. 9 DSGVO) hochlädt, bestätigt er, dass:

  • Die entsprechenden Bedingungen nach Art. 9 erfüllt sind (z. B. ausdrückliche Einwilligung, Rechtsansprüche, erhebliches öffentliches Interesse)

  • Zusätzliche gesetzlich vorgeschriebene Schutzmaßnahmen getroffen wurden

  • Der Kunde, falls erforderlich, eine Datenschutz-Folgenabschätzung durchgeführt hat

4.3 Verwaltung von Betroffenenrechten

Der Kunde ist verantwortlich für:

  • Entgegennahme und Beantwortung von Anträgen auf Betroffenenrechte

  • Verifizierung der Identität der betroffenen Person vor Anforderung von Daten bei ISMS Copilot

  • Entscheidung über die Benachrichtigung von Aufsichtsbehörden und Betroffenen im Falle von Verletzungen

  • Sicherstellung, dass betroffene Personen über die Rolle von ISMS Copilot als Auftragsverarbeiter informiert sind

4.4 Konfiguration der Datenaufbewahrung

Der Kunde muss:

  • Angemessene Aufbewahrungsfristen konfigurieren, die seinen Datenschutzrichtlinien entsprechen

  • Aufbewahrungseinstellungen regelmäßig überprüfen, um Compliance sicherzustellen

  • Die Löschung beantragen, wenn Daten für den ursprünglichen Zweck nicht mehr erforderlich sind

4.5 Workspace-Isolierung

Der Kunde sollte:

  • Separate Workspaces für verschiedene Clients oder Datenkategorien erstellen

  • Die Vermischung personenbezogener Daten verschiedener Betroffener in einem Workspace vermeiden

  • Workspaces löschen, wenn Projekte abgeschlossen sind und Daten nicht mehr benötigt werden

5. Haftung und Freistellung

5.1 Haftungsverteilung

Gemäß Artikel 82 DSGVO:

  • Der Kunde und ISMS Copilot haften jeweils für Schäden, die durch ihre eigenen Verstöße gegen die DSGVO verursacht wurden

  • ISMS Copilot ist von der Haftung befreit, wenn es nachweist, dass es für das den Schaden auslösende Ereignis nicht verantwortlich ist

  • ISMS Copilot haftet nicht für Schäden, die aus unrechtmäßigen Verarbeitungsanweisungen des Kunden resultieren

5.2 Freistellung

Der Kunde stellt ISMS Copilot von allen Ansprüchen, Bußgeldern oder Schäden frei, die resultieren aus:

  • Einer Verletzung der DSGVO oder anderer Datenschutzgesetze durch den Kunden

  • Unrechtmäßigen Verarbeitungsanweisungen des Kunden

  • Dem Versäumnis des Kunden, notwendige Einwilligungen oder eine Rechtsgrundlage für die Verarbeitung einzuholen

  • Dem Hochladen besonderer Datenkategorien durch den Kunden ohne angemessene Schutzmaßnahmen

6. Laufzeit und Kündigung

6.1 Laufzeit

Dieser AVV tritt an dem Tag in Kraft, an dem der Kunde ISMS Copilot-Dienste erstmals nutzt, und gilt so lange, wie ISMS Copilot personenbezogene Daten des Kunden verarbeitet.

6.2 Kündigung

Dieser AVV endet automatisch mit:

  • Beendigung der Nutzungsbedingungen

  • Abschluss aller Verarbeitungsaktivitäten und Löschung der personenbezogenen Daten des Kunden

6.3 Wirkung der Kündigung

Nach Beendigung:

  • Löscht ISMS Copilot alle personenbezogenen Daten des Kunden oder gibt diese zurück, wie in Abschnitt 2.8 beschrieben

  • Verpflichtungen zur Vertraulichkeit, Datensicherheit und gesetzlichen Aufbewahrung bleiben über die Beendigung hinaus bestehen

  • Das Prüfungsrecht des Kunden bleibt für 12 Monate nach Beendigung bestehen

7. Änderungen und Aktualisierungen

7.1 Aktualisierungen des AVV

ISMS Copilot kann diesen AVV aktualisieren, um Folgendes zu berücksichtigen:

  • Änderungen der Datenschutzgesetze oder behördlicher Leitlinien

  • Änderungen der Verarbeitungsvorgänge oder Unterauftragsverarbeiter

  • Verbesserungen der Sicherheitsmaßnahmen oder Datenschutzpraktiken

7.2 Benachrichtigung über Änderungen

  • Wesentliche Änderungen werden mindestens 30 Tage im Voraus per E-Mail und In-App-Benachrichtigung mitgeteilt

  • Der aktualisierte AVV wird unter dieser URL mit einem neuen „Datum des Inkrafttretens“ veröffentlicht

  • Die fortgesetzte Nutzung der Dienste nach dem Datum des Inkrafttretens gilt als Annahme des aktualisierten AVV

7.3 Einspruchsrechte

  • Der Kunde kann wesentlichen Änderungen innerhalb von 30 Tagen nach Benachrichtigung widersprechen

  • Widerspricht der Kunde, kann er den Dienst ohne Vertragsstrafe kündigen

8. Anwendbares Recht und Gerichtsstand

8.1 Anwendbares Recht

Dieser AVV unterliegt:

  • Der Datenschutz-Grundverordnung (EU) 2016/679

  • Dem französischen Datenschutzrecht (Datenschutzgesetz 78-17 vom 6. Januar 1978)

  • Den Gesetzen Frankreichs für die vertragliche Auslegung

8.2 Gerichtsstand

Alle Streitigkeiten aus diesem AVV unterliegen der Zuständigkeit französischer Gerichte, wobei die Aufsichtsbehörde die Commission Nationale de l'Informatique et des Libertés (CNIL) ist.

9. Kontaktinformationen

9.1 Datenschutz-Kontakte

Für Fragen oder Anfragen zum AVV:

  • Kontaktieren Sie den Support über das Help Center (über das Benutzermenü zugänglich)

  • E-Mail von Ihrer registrierten E-Mail-Adresse des Kontos

  • Geben Sie „AVV-Anfrage“ oder „Auftragsverarbeitungsvertrag“ im Betreff an

9.2 Datenschutz-Ansprechpartner

ISMS Copilot hat keinen Datenschutzbeauftragten benannt, da wir die Kriterien für eine Pflichtbenennung gemäß Art. 37 DSGVO nicht erfüllen. Für Datenschutzanfragen zu diesem AVV kontaktieren Sie uns unter [email protected] oder über das Help Center.

9.3 Aufsichtsbehörde

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adresse: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich

  • Telefon: +33 1 53 73 22 22

10. Zusätzliche Ressourcen

Begleitende Dokumentation

  • Verzeichnis der Verarbeitungstätigkeiten (VVT) – Detaillierte Verarbeitungsvorgänge und Unterauftragsverarbeiter

  • Datentransfer-Folgenabschätzung (TIA) – Risikobewertung und Garantien für internationale Transfers

  • Datenschutzerklärung – Datenschutzhinweis für Endverbraucher

  • Datenschutz & DSGVO-Konformität – Benutzerrechte und Leitfaden zur DSGVO-Umsetzung

  • Security Collection – Umfassende Sicherheits- und Compliance-Dokumentation

  • Statusseite – Echtzeit-Systemverfügbarkeit und Incident-Benachrichtigungen

Konfigurationsanleitungen

  • Erweiterter Datenschutzmodus – Nur EU-KI-Verarbeitung aktivieren

  • Workspace-Setup-Leitfaden – Kundendaten ordnungsgemäß isolieren

  • Leitfaden zur Kontosicherheit – Starke Authentifizierung implementieren

Anhang A: Zusammenfassung der Verarbeitungsdetails

Gegenstand

Bereitstellung einer KI-gestützten Compliance-Plattform einschließlich Gesprächsverarbeitung, Dokumentenanalyse und Wissensmanagement.

Dauer

Für die Laufzeit des aktiven Abonnements des Kunden zuzüglich der vom Kunden konfigurierten Aufbewahrungsfrist (1 Tag bis 7 Jahre), gefolgt von einem 30-tägigen Löschfenster.

Art und Zweck

  • Art: Automatisierte KI-Verarbeitung, Datenbank-Speicherung, Dateikonvertierung und -analyse

  • Zweck: Compliance-Experten ermöglichen, KI-Beratung zu erhalten, Dokumente zu analysieren, Richtlinien zu erstellen und Compliance-Wissen zu verwalten

Kategorien betroffener Personen

  • Mitarbeiter und autorisierte Plattformnutzer des Kunden

  • Kunden des Kunden (sofern in Dokumenten oder Anfragen erwähnt)

  • In der Compliance-Dokumentation erwähnte Personen

  • Subjekte von Sicherheitsvorfällen

Kategorien personenbezogener Daten

  • Kontaktinformationen (E-Mail-Adressen)

  • Authentifizierungsdaten (gehashte Passwörter)

  • Gesprächsinhalte und KI-Interaktionen

  • Hochgeladene Compliance-Dokumente

  • Nutzungsmetadaten und Zeitstempel

  • Möglicherweise besondere Datenkategorien (Art. 9), falls vom Kunden hochgeladen

Anhang B: Protokoll für Änderungen bei Unterauftragsverarbeitern

Dieser Anhang dokumentiert alle Neuzugänge, Entfernungen und Änderungen bei Unterauftragsverarbeitern seit Inkrafttreten des AVV. Kunden werden 30 Tage vor Inkrafttreten der Änderungen benachrichtigt.

Stand: November 2025

Ursprüngliche Liste der Unterauftragsverarbeiter erstellt. Siehe Abschnitt 2.4 und das Verzeichnis der Verarbeitungstätigkeiten für die vollständige aktuelle Liste.

Zukünftige Änderungen

Alle Änderungen bei Unterauftragsverarbeitern werden hier dokumentiert mit:

  • Datum des Inkrafttretens der Änderung

  • Name und Standort des Unterauftragsverarbeiters

  • Art der Änderung (Hinzufügung, Entfernung, Ersetzung)

  • Zweck der Verarbeitung

  • Datum der Kundenbenachrichtigung

Hilfe erhalten

Bei Fragen zu diesem Auftragsverarbeitungsvertrag:

  • Prüfen Sie das Verzeichnis der Verarbeitungstätigkeiten für technische Details

  • Kontaktieren Sie den Support über das Help Center für Klärungen

  • Fordern Sie zusätzliche Dokumentation (z. B. SCCs, Sicherheitsrichtlinien) über den Support an

  • Besuchen Sie unsere Security Collection für umfassende Compliance-Ressourcen

  • Geben Sie „AVV-Anfrage“ in der Betreffzeile an für eine vorrangige Bearbeitung

War das hilfreich?